Coletar registros do Fluentd
Neste documento, descrevemos como coletar registros Fluentd configurando o Fluentd e um encaminhador do Chronicle. Este documento também lista os tipos de registro e a versão do Fluentd compatíveis.
Para mais informações, consulte Ingestão de dados para o Chronicle.
Visão geral
O diagrama da arquitetura de implantação a seguir mostra como o Fluentd é instalado no servidor de encaminhamento e no servidor agregador para enviar registros ao Chronicle. Cada implantação do cliente pode ser diferente dessa representação e ser mais complexa.
O diagrama da arquitetura mostra os seguintes componentes:
Sistema Linux O sistema Linux a ser monitorado. O sistema Linux consiste nos arquivos a serem monitorados e no servidor de encaminhamento do Fluentd.
Sistema do Microsoft Windows O sistema do Microsoft Windows a ser monitorado em que o servidor de encaminhamento do Fluentd está instalado.
encaminhador do Fluentd. O encaminhador do Fluentd coleta informações do sistema do Microsoft Windows ou do Linux e as encaminha para o agregador do Fluentd.
Agregador do Fluentd. O agregador do Fluentd recebe registros do encaminhador do Fluentd e os encaminha para o encaminhador do Chronicle.
encaminhador do Chronicle. O encaminhador do Chronicle é um componente de software leve, implantado na rede do cliente, compatível com syslog. O encaminhador do Chronicle encaminha os registros para o Chronicle.
Chronicle (em inglês). O Chronicle retém e analisa os registros do agregador do Fluentd.
Um identificador de ingestão identifica o analisador que normaliza os dados de registro brutos
no formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão FLUENTD.
Antes de começar
Verifique se o encaminhador do Fluentd está instalado nos sistemas Microsoft Windows ou Linux que você planeja monitorar. Para mais informações sobre como instalar o encaminhador de Fluentd, consulte Instalação do Fluentd
Use uma versão do Fluentd compatível com o analisador do Chronicle. O analisador Chronicle oferece suporte ao Fluentd versão 1.0.
Verifique se o agregador do Fluentd está instalado e configurado no servidor Linux central.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Verifique os tipos de registro compatíveis com o analisador do Chronicle. A tabela a seguir lista os caminhos dos produtos e do arquivo de registros compatíveis com o analisador do Chronicle:
Sistema operacional Produto Caminho do arquivo de registro Dispositivo Microsoft Windows Dispositivo Microsoft Windows Logs de eventos Linux Linux /var/log/audit/audit.log Linux Linux /var/log/syslog Linux apache2 /var/log/apache2/access.log Linux apache2 /var/log/apache2/error.log Linux apache2 /var/log/apache2/other_vhosts_access.log Linux apache2 /var/log/apache2/novnc-server-access.log Linux OpenVpn /var/log/openvpnas.log Linux Nginx /var/log/nginx/access.log Linux Nginx /var/log/nginx/error.log Linux Rkhunter /var/log/rkhunter.log Linux Linux /var/log/auth.log Linux Linux /var/log/kern.log Linux Rundeck /var/log/rundeck/service.log Linux Samba /var/log/samba/log.winbindd Linux Linux /var/log/mail.log
Configurar o encaminhador e o agregador do Fluentd e o encaminhador do Chronicle
Para monitorar os registros gerados pelos sistemas Linux, crie um arquivo
td-agent.confpara especificar a configuração de monitoramento de registro do encaminhador do Fluentd. Veja um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Linux:<source> @type tail path /var/log/nginx/access.log pos_file /var/log/td-agent/nginx-access.log.pos tag mytag.nginx.access <parse> @type none </parse> </source> <source> @type tail path /var/log/nginx/error.log pos_file /var/log/td-agent/nginx-error.log.pos tag mytag.nginx.error <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/access.log pos_file /var/log/td-agent/apache-access.log.pos tag mytag.apache.access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/error.log pos_file /var/log/td-agent/apache-error.log.pos tag mytag.apache.error <parse> @type none </parse> </source> <source> @type tail path /var/log/audit/audit.log pos_file /var/log/td-agent/audit.log.pos tag mytag.audit <parse> @type none </parse> </source> <source> @type tail path /var/log/syslog/syslog.log pos_file /var/log/td-agent/syslog.log.pos tag mytag.syslog <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/other_vhosts_access.log pos_file /var/log/td-agent/vhost.log.pos tag mytag.apache.other_vhosts_access <parse> @type none </parse> </source> <source> @type tail path /var/log/apache2/novnc-server-access.log pos_file /var/log/td-agent/novnc.log.pos tag mytag.apache.novnc-server-access <parse> @type none </parse> </source> <source> @type tail path /var/log/openvpnas.log pos_file /var/log/td-agent/openvpnas.log.pos tag mytag.openvpnas <parse> @type none </parse> </source> <source> @type tail path /var/log/auth.log pos_file /var/log/td-agent/auth.log.pos tag mytag.auth <parse> @type none </parse> </source> <source> @type tail path /var/log/kern.log pos_file /var/log/td-agent/kern.log.pos tag mytag.kern <parse> @type none </parse> </source> <source> @type tail path /var/log/rundeck/service.log pos_file /var/log/td-agent/rundeck.log.pos tag mytag.rundeck <parse> @type none </parse> </source> <source> @type tail path /var/log/mail.log pos_file /var/log/td-agent/mail.log.pos tag mytag.mail <parse> @type none </parse> </source> <source> @type tail path /var/log/rkhunter.log pos_file /var/log/td-agent/rkhunter.log.pos tag mytag.rkhunter <parse> @type none </parse> </source> <source> @type tail Path /var/log/samba/log.winbindd pos_file /var/log/td-agent/winbindd.log.pos tag mytag.winbindd <parse> @type none </parse> </source> <filter mytag.**> @type record_transformer <record> forwarder_hostname "#{Socket.gethostname}" </record> </filter> <filter mytag.nginx.access.**> @type record_transformer <record> path "/var/log/nginx/access.log" </record> </filter> <filter mytag.nginx.error.**> @type record_transformer <record> path "/var/log/nginx/error.log" </record> </filter> <filter mytag.apache.access.**> @type record_transformer <record> path "/var/log/apache2/access.log" </record> </filter> <filter mytag.apache.error.**> @type record_transformer <record> path "/var/log/apache2/error.log" </record> </filter> <filter mytag.audit.**> @type record_transformer <record> path "/var/log/audit/audit.log" </record> </filter> <filter mytag.syslog.**> @type record_transformer <record> path "/var/log/syslog/syslog.log" </record> </filter> <filter mytag.apache.other_vhosts_access.**> @type record_transformer <record> path "/var/log/apache2/other_vhosts_access.log" </record> </filter> <filter mytag.apache.novnc-server-access.**> @type record_transformer <record> path "/var/log/apache2/novnc-server-access.log" </record> </filter> <filter mytag.openvpnas.**> @type record_transformer <record> path "/var/log/openvpnas.log" </record> </filter> <filter mytag.auth.**> @type record_transformer <record> path "/var/log/auth.log" </record> </filter> <filter mytag.kern.**> @type record_transformer <record> path "/var/log/kern.log" </record> </filter> <filter mytag.rundeck.**> @type record_transformer <record> path "/var/log/rundeck/service.log" </record> </filter> <filter mytag.mail.**> @type record_transformer <record> path "/var/log/mail.log" </record> </filter> <filter mytag.rkhunter.**> @type record_transformer <record> path "/var/log/rkhunter.log" </record> </filter> <filter mytag.winbindd.**> @type record_transformer <record> path "/var/log/samba/log.winbindd" </record> </filter> <match mytag.**> @type forward # primary host <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> </server> </match>Para monitorar os registros que os sistemas Microsoft Windows geram, crie um arquivo
td-agent.confpara especificar a configuração de monitoramento de registros do encaminhador do Fluentd. Veja um exemplo de arquivo de configuração para o encaminhador do Fluentd no sistema Microsoft Windows:<source> @type windows_eventlog @id windows_eventlog channels application,security,system read_existing_events true read_interval 2 tag windows.raw render_as_xml true <storage> @type local persistent true path E:\windows.pos </storage> </source> <match windowslog> @type forward <server> host <AGGREGATOR_HOSTNAME> port <AGGREGATOR_PORT> username <AGGREGATOR_USERNAME> password <AGGREGATOR_PASSWORD> </server> </match>Para encaminhar os registros do agregador do Fluentd para o encaminhador do Chronicle, crie um arquivo de configuração no seguinte formato:
<source> @type forward port <AGGREGATOR_PORT> </source> ## Forwarding <match mytag.**> @id output_system_forward @type forward # IP and port of the forwarder <server> host <CHRONICLE_FORWARDER_HOSTNAME> port <CHRONICLE_FORWARDER_PORT> </server> </match>Configure o encaminhador do Chronicle para enviar registros. Para mais informações, consulte Como instalar e configurar o encaminhador no Linux. Este é um exemplo de configuração de encaminhador do Chronicle:
common: enabled: true data_type: FLUENTD batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10514 connection_timeout_sec: 60
Referência de mapeamento de campo
Nesta seção, explicamos como o analisador aplica padrões de grok para sistemas Linux e Microsoft Windows e como ele mapeia campos de registro do Fluentd para campos de modelo de dados unificados do Chronicle (UDM) para cada tipo de registro.
Para informações sobre como mapear a referência de campos comuns, consulte Campos comuns.
Para informações de referência sobre caminhos de registro, padrões de Grog para exemplos de registros, tipos de evento e campos UDM em sistemas Linux, consulte as seguintes seções:
Para informações sobre os eventos compatíveis com o Microsoft Windows e os campos de UDM correspondentes, consulte Dados de eventos do Microsoft Windows.
Campos comuns
A tabela a seguir lista os campos de registro comuns e os campos de UDM correspondentes.
| Campo de registro comum | Campo UDM |
|---|---|
| coletados | timestamp.collected_timestamp |
| mensagem_interna.mensagem | mensagem_interna |
| mensagem_interna.forwarder_nomedohost | target.hostname ou principal.hostname |
| mensagem_interna.caminho | Origem do evento |
Sistema Linux
A tabela a seguir lista os caminhos de registro para o sistema Linux, o padrão grok de exemplos de registro, o tipo de evento e os mapeamentos de UDM:
| Caminho do registro | Exemplo de registro | Padrão da virilha | Tipo de evento | Mapeamento do UDM |
|---|---|---|---|---|
| /var/log/apache2/error.log | [Quinta-feira, 28 de abril de 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] [cliente 1.200.32.47:59840] não conseguiu fazer a conexão | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*) | NETWORK_UNCATEGORIZED | o carimbo de data/hora está mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid. O tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message é mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Quinta-feira, 28 de abril de 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] falhou ao estabelecer conexão | [{timestamp}][{log_module}:{severity}][pid{pid}(<optional_field>:tid{tid}|)]{error_message} | NETWORK_UNCATEGORIZED | o carimbo de data/hora está mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid. O tid é mapeado para target.process.pid error_message é mapeado para security_result.description network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Quinta-feira, 28 de abril de 16:13:01.283342 2022] [core:notice] [pid 18394:tid 140188660751296] AH00094: Linha de comando: '/usr/sbin/apache2' | [{timestamp}][{log_module}:{log_level}][pid{pid}(<optional_field>:tid{tid}|)](<optional_field> [cliente {client_ip}:{client_port}]|) (?<error_message>.*),referenciador{referer_url} | NETWORK_UNCATEGORIZED | metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" o carimbo de data/hora está mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid. O tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message é mapeado para security_result.description target.platform é definido como "LINUX" O referenciador_url é mapeado para network.http.referral_url |
| /var/log/apache2/error.log | [Dom 30 jan 15:14:47.260309 2022] [proxy_http:erro] [pid 12515:tid 140035781285632] [cliente 1.200.32.47:59840] AH01114: back-end: http: make.2: referência para o 2: | [{timestamp}] [{log_module}:{log_level}] [pid {pid}(<optional_field>:tid{tid}|)] [client {client_ip}:{client_port}]( <message_text>HTTP: )?{error_message}:( {target_ip})(<optional_field>,referer{referer_url})?" | HTTP_NETWORK | o carimbo de data/hora está mapeado para metadata.event_timestamp log_module é mapeado para target.resource.name log_level é mapeado para security_result.severity pid é mapeado para target.process.parent_process.pid. O tid é mapeado para target.process.pid client_ip é mapeado para principal.ip client_port está mapeado para principal.port error_message é mapeado para security_result.description target_ip é mapeado para target.ip O referenciador_url é mapeado para network.http.referral_url network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Sábado 2 de fevereiro 00:30:55 2019] Nova conexão: [conexão: gTxkX8Z6tjk] [cliente 192.0.2.1:50786] | [{timestamp}]<message_text>connection:[connection:{connection_id}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | o carimbo de data/hora está mapeado para metadata.event_timestamp client_ip é mapeado para principal.ip client_port está mapeado para principal.port connection_id é mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Sábado 02 de fevereiro 00:30:55 2019] Nova solicitação: [conexão: j8BjX4Z5tjk] [solicitação: ACtkX1Z5tjk] [pid 8] [cliente 192.0.2.1:50784] | [{timestamp}]<message_text>request:[connection:{connection_id}][request:{request_id}][pid{pid}][client{client_ip}:{client_port}] | NETWORK_UNCATEGORIZED | o carimbo de data/hora está mapeado para metadata.event_timestamp request_id é mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port está mapeado para principal.port pid é mapeado para target.process.parent_process.pid. connection_id é mapeado para network.session_id network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/error.log | [Sábado 02 de fevereiro 00:30:55 2019] [informação] [C: j8BjX4Z5tjk] [R: p7pjX4Z5tjk] [pid 8] core.c(4739): [cliente 192.0.2.1:50784] AH0012/AH0012/ | [{timestamp}] [{log_level}][C:{connection_id}][R:{request_id}][pid {pid}(<optional_field>:tid{tid}|)]<message_text>[cliente {client_ip}:{client_port}]{error_message}:{file_path} | NETWORK_UNCATEGORIZED | o carimbo de data/hora está mapeado para metadata.event_timestamp log_level é mapeado para security_result.severity request_id é mapeado para security_result.detection_fields.(key/value) client_ip é mapeado para principal.ip client_port está mapeado para principal.port pid é mapeado para target.process.parent_process.pid. connection_id é mapeado para network.session_id error_message é mapeado para security_result.description file_path é mapeado para target.file.full_path network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/access.log | - | ({client_ip})?<message_text>{userid}[{timestamp}](<optional_field>{method}/(<optional_field>{resource}?) {client_protocol}?){result_status}{object_size}(<optional_field>(<optional_field>{referer_url}?)(<optional_field>{user_agent}?)? | HTTP_NETWORK | client_ip é mapeado para principal.ip ID do usuário mapeado para principal.user.userid o host está mapeado para principal.hostname o carimbo de data/hora está mapeado para metadata.event_timestamp O método é mapeado para network.http.method. o recurso foi mapeado para principal.resource.name client_protocol é mapeado para network.application_protocol result_status é mapeado para network.http.response_code object_size é mapeado para network.sent_bytes O referenciador_url é mapeado para network.http.referral_url user_agent mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definida como "OUTBOUND" network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| var/log/apache2/other_vhosts_access.log | ganhetest.abc.com:80 ::1 - - [14/jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"Python-urllib/2.7\" | {target_host}:{NUMBER:target_port} {client_ip} - (<host_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | HTTP_NETWORK | target_host é mapeado para target.hostname.
target_port é mapeado para target.port client_ip é mapeado para principal.ip ID do usuário mapeado para principal.user.userid o host está mapeado para principal.hostname o carimbo de data/hora está mapeado para metadata.event_timestamp O método é mapeado para network.http.method. o recurso foi mapeado para principal.resource.name result_status é mapeado para network.http.response_code object_size é mapeado para network.sent_bytes O referenciador_url é mapeado para network.http.referral_url user_agent mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definida como "OUTBOUND" target.platform é definido como "LINUX". metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" network.application_protocol está definido como "HTTP" |
| var/log/apache2/novnc-server-access.log | ganhetest.abc.com:80 ::1 - - [14/Jan/2022:14:08:16 -0700] \"GET /server-status?auto HTTP/1.1\" 200 1415 \"-\" \"http://\" | {target_host}:{NUMBER:target_port} {client_ip} - (<host_field>{host}?) [{timestamp}](<optional_field>{method}/(<optional_field>{resource}?){client_protocol}?){result_status}{object_size}(<optional_field>{referer_url}?)(<optional_field>{user_agent}?) | HTTP_NETWORK | client_ip é mapeado para principal.ip ID do usuário mapeado para principal.user.userid O método é mapeado para network.http.method. o caminho está mapeado para target.url result_status é mapeado para network.http.response_code object_size é mapeado para network.sent_bytes O referenciador_url é mapeado para network.http.referral_url user_agent mapeado para network.http.user_agent network.ip_protocol está definido como "TCP" network.direction está definida como "OUTBOUND" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" network.application_protocol está definido como "HTTP" |
| /var/log/apache2/access.log | "http://192.0.2.1/test/first.html" -> /google.com | (<opcional_campo>{referer_url}?)->(<opcional_campo>{caminho}?) | EVENTO GERAL | o caminho está mapeado para target.url O referenciador_url é mapeado para network.http.referral_url network.direction está definida como "OUTBOUND" target.platform é definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| /var/log/apache2/access.log | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Code/1.67.0 Chrome/98.0.4758.141 Electron/17.4.1 Safari/537.36 | (<opcional_campo>{user_agent}) | EVENTO GERAL | user_agent mapeado para network.http.user_agent network.direction está definida como "OUTBOUND" target.platform é definido como "LINUX" network.application_protocol está definido como "HTTP" target.platform é definido como "LINUX" metadata.vendor_name está definido como "Apache" metadata.product_name está definido como "Servidor HTTP Apache" |
| var/log/nginx/access.log | 192.0.2.1 - admin [05/maio/2022:11:53:27 +0530] "GET /icons/ubuntu-logo.png HTTP/1.1" 404 209 "http://198.51.100.1/" "Mozilla/5.0 (Windows NT 10.0; Chrome 6; 6; 6 | {principal_ip}: (<opcional_campo>{principal_usuário_usuário}?) [{timestamp}] {http_method} /(<optional_field>{resource_name}?|) {protocol}(<message_text>){response_code} {received_bytes}(<optional_field>{referer_url}) ({user_agent}|{user_agent})? | HTTP_NETWORK | o horário é mapeado para metadata.timestamp ip é mapeado para target.ip principal_ip é mapeado para principal.ip principal_user_userid é mapeado para principal.user.userid metadata_timestamp é mapeado para carimbo de data/hora http_method é mapeado para network.http.method. resource_name é mapeado para principal.resource.name. O protocolo é mapeado para network.application_protocol = (HTTP) response_code é mapeado para network.http.response_code Receberam bytes em network.sent_bytes O referenciador_url é mapeado para network.http.referral_url user_agent mapeado para network.http.user_agent target.platform é definido como "LINUX". metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definida como "OUTBOUND" |
| var/log/nginx/error.log | 2022/01/29 13:51:48 [error] 593#593: *62432 open() \"/usr/share/nginx/html/nginx_status\" com falha (2: tal arquivo ou diretório), cliente: 192.0.2.1, servidor: localhost, solicitação: \"GET /nginx_status HTTP.1.8.0.8.2. | "{year}\/{month}\/{day}{time}[{severity}]{pid}#{thread_id}:{inner_message2}"
inner_message2 foi mapeado para "{security_result_description_2},client:{principal_ip},server:(<optional_field>{target_hostname}?),request:"{http_method} /(<optional_field>{resource_name}?) {protocol}/1.1",host:"({target_ip}:{target_port})?" "bind() to ({target_ip}|[{target_ip}]):{target_port} falhou ({security_description})", "\*{cid}{security_description}", "{security_description}" |
HTTP_NETWORK | thread_id é mapeado para principal.process.pid severity é mapeada para security_result.severity (depurar é mapeado para UNKNOWN_SEVERITY, as informações são mapeadas para INFORMATION, o aviso é mapeado para LOW, warn é mapeado para MEDIUM, o erro é mapeado para ERROR, o crit é mapeado para CRITICAL e o alerta é mapeado para HIGH) target_file_full_path é mapeado para target.file.full_path. principal_ip é mapeado para principal.ip target_hostname é mapeado para target.hostname. http_method é mapeado para network.http.method. resource_name é mapeado para principal.resource.name. o protocolo está mapeado para "TCP" target_ip é mapeado para target.ip target_port é mapeado para target.port segurança_descrição + security_result_description_2 é mapeada para security_result.description pid é mapeado para principal.process.parent_process.pid. network.application_protocol está definido como "HTTP" o carimbo de data/hora está mapeado para {year}/{day}/{month} {time} target.platform é definido como "LINUX" metadata.vendor_name está definido como "NGINX" metadata.product_name está definido como "NGINX" network.ip_protocol está definido como "TCP" network.direction está definida como "OUTBOUND" |
| var/log/rkhunter.log | [14:10:40] Falha na verificação dos comandos necessários | [<message_text>]{security_description} | ATUALIZAÇÃO DO STATUS | o horário é mapeado para metadata.timestamp security_description é mapeada para security_result.description. principal.platform é definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | [14:09:52] Verificando o arquivo "/dev/.oz/.nap/rkit/terror" [ Não encontrado ] | [<message_text>] {security_description} {file_path}[\{metadata_description}] | FILE_UNCATEGORIZED | metadata_description é mapeado para metadata.description
file_path é mapeado para target.file.full_path security_description é mapeada para security_result.description. principal.platform é definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| var/log/rkhunter.log | HMAC: tamanho de arquivo reduzido (inode restante): '/var/log/rkhunter.log'. | (<optional_field><message_text>:){metadata_description}:'{file_path}' | FILE_UNCATEGORIZED | o horário é mapeado para metadata.timestamp metadata_description é mapeado para metadata.description file_path é mapeado para target.file.full_path principal.platform é definido como "LINUX" metadata.vendor_name está definido como "RootKit Hunter" metadata.product_name está definido como "RootKit Hunter" |
| /var/log/kern.log | 28 de abril 12:41:35 kernel localhost: [ 5079.912215] ctnetlink v0.93: registro com nfnetlink. | {timestamp}{principal_hostname}{metadata_product_event_type}:[<message_text>]{metadata_description} | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" metadata_description é mapeado para "metadata.description". metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform é definido como "LINUX" |
| /var/log/kern.log | 6 de julho 11:17:01 kernel Ubuntu18: [ 0.030139] smpboot: CPU0: Intel(R) Xeon(R) Gold 5220R CPU 2,20 GHz (família: 0x6, modelo: 0x55, passo: 0x7) | {timestamp}{principal_hostname}{metadata_product_event_type}:([<message_text>])<message_text>:\CPU0:{principal_asset_hardware_cpu_model}({metadata_description}) | STATUS_ATUALIZAÇÃO | o carimbo de data/hora é mapeado para "metadata.event_timestamp" principal_hostname é mapeado para "principal.hostname" metadata_product_event_type é mapeado para "metadata.product_event_type" principal_asset_hardware_cpu_model é mapeado para "principal.asset.hardware.cpu_model" metadata_description é mapeado para "metadata.description". metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform é definido como "LINUX" cpu_model é mapeado para principal.asset.hardware.cpu_model |
| /var/log/syslog.log | 24 de maio 10:30:42 Ubuntu18 systemd[1]: Sessão 112 iniciada do usuário kajal. | {collected_timestamp}{hostname}{command_line}(<optional_field>[{pid}]):{message} | STATUS_ATUALIZAÇÃO | coletados_hora são mapeados para metadata.event_timestamp Nome do host mapeado para principal.hostname. pid é mapeado para principal.process.pid mensagem é mapeada para metadata.description metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform é definido como "LINUX" command_line é mapeado para principal.process.command_line |
| /var/log/syslog.log | 06 de julho 10:14:37 Ubuntu18 rsyslogd: ID de usuário de rsyslogd alterado para 102 | {collected_timestamp}{hostname}{command_line}:{message} para {user_id} | STATUS_ATUALIZAÇÃO | collection_time é mapeado para metadata.collected_timestamp Nome do host mapeado para principal.hostname. mensagem é mapeada para metadata.description ID do usuário é mapeado para principal.user.userid command_line é mapeado para principal.process.command_line metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform é definido como "LINUX" |
| /var/log/syslog.log | Jul 06 10:36:48 Ubuntu18 systemd[1]: Iniciando o serviço de geração de registros do sistema... | {collected_timestamp}{hostname}{command_line} (<campo_opcional>|[{pid}]):{mensagem} | STATUS_ATUALIZAÇÃO | coletados_hora são mapeados para metadata.event_timestamp Nome do host mapeado para principal.hostname. pid é mapeado para principal.process.pid mensagem é mapeada para metadata.description metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" principal.platform é definido como "LINUX" command_line é mapeado para principal.process.command_line |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] SAÍDA: '2022-04-29 05:21:22 mohit_AUTOLOGIN/198.51.100.1:16245 MULTI: 198.51.2_10.2.01. | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<optional_field>'|")<message_text>-<message_text>{usuário}\/{ip}:{port}MULTI:Saiba:{local_ip}->{target_hostname}?{target_ip}:{port}(<optional_field>'|") | HTTP_NETWORK | o carimbo de data/hora está mapeado para metadata.timestamp log_level é mapeado para security_result.severity local_ip é mapeado para principal.ip target_ip é mapeado para target.ip target_hostname é mapeado para principal.hostname. porta está mapeada para target.port o usuário está mapeado para principal.user.user_display_name metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform é definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] SAÍDO: '2022-04-28 16:14:13 versões da biblioteca: OpenSSL 1.1.1 11 Sep 2018, LZO 2.08' | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_opcional>'|")<message_text>{msg}(<opcional_campo>'|") | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora está mapeado para metadata.timestamp log_level é mapeado para security_result.severity msg é mapeada para security_result.description. metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform é definido como "LINUX" |
| var/log/openvpnas.log | 2022-04-28T16:14:13+0530 [stdout#info] [OVPN 6] SAÍDA: '2022-04-28 16:14:13 net_addr_v4_add: 198.51.100.1/23 dev as0t6' | {timestamp}[stdout#{log_level}][OVPN <message_text>]SAÍDO:<optional_field>'|"<message_text>-<message_text>-<message_text><message_text>{message}<optional_field>'|" mensagem é mapeada para (net_addr_v4_add|net_route_v4_best_gw):{target_ip}/{target_port} |
ATUALIZAÇÃO DO STATUS | principal.platform é definido como "LINUX" target_ip é mapeado para target.ip target_port é mapeado para target.port severity é mapeada para security_result.severity o carimbo de data/hora está mapeado para metadata.timestamp metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como o servidor de acesso OpenVPN |
| var/log/openvpnas.log | 2022-04-29T10:51:22+0530 [stdout#info] [OVPN 4] SAÍDA: '2022-04-29 05:21:22 198.51.100.1:16245 [mohit_AUTOLOGIN] Conexão do peering iniciada com [9_NET 1.0 [1/05] | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<campo_opcional>'|")<message_text>{message}(<opcional_field>'|") mensagem é mapeada para <message_text>com[<message_text>]<message_text>:{port}<message_text> |
ATUALIZAÇÃO DO STATUS | o carimbo de data/hora está mapeado para metadata.timestamp log_level é mapeado para security_result.severity metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como o servidor de acesso OpenVPN principal.platform está definido como Linux target_ip é mapeado para target.ip target_port é mapeado para target.port target_hostname é mapeado para target.hostname. intermediary_ip é mapeado para intermediary.ip |
| var/log/openvpnas.log | Revisão do | {timestamp}[stdout#{log_level}][OVPN <message_text>]OUT:(<opcional_campo>'|")<message_text>{usuário}\/{ip}:{message}(<opcional_field>'|") | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora está mapeado para metadata.timestamp log_level é mapeado para security_result.severity mensagem é mapeada para metadata.description usuário foi mapeado para target.hostname ip é mapeado para target.ip porta está mapeada para taregt.port metadata.vendor_name está definido como OpenVPN metadata.product_name está definido como o servidor de acesso OpenVPN principal.platform está definido como Linux |
| var/log/openvpnas.log | (2022, 20, 5, 5 e 5) | {timestamp}[stdout#{log_level}]{summary}{'<message_text>':({status})?'<message_text>':({user})?'<message_text>':({reason})?<message_text>}, 'common_name':'{user_name}'<message_text>}cli='{cli}' | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora está mapeado para metadata.timestamp log_level é mapeado para security_result.severity mensagem é mapeada para security_result.description O resumo foi mapeado para security_result.summary. user_name é mapeado para principal.user.user_display_name cli é mapeado para principal.process.command_line status é mapeado para principal.user.user_authentication_status metadata.vendor_name está definido como "OpenVPN" metadata.product_name está definido como "Servidor de acesso OpenVPN" principal.platform é definido como "LINUX" |
| /var/log/rundeck/service.log | [2022-05-04T17:03:11,166] O uso do WARN config.NavigableMap - Como acessar a chave de configuração "[filterNames]" por meio da notação de ponto foi descontinuado e ele será removido em uma versão futura. Use "config.getProperty(key, targetClass)". | [{timestamp}]{severity}{summary}\-{security_description}
, em {command_line}\({file_path}:<message_text>\) |
ATUALIZAÇÃO DO STATUS | command_line é mapeado para "target.process.command_line"
file_path é mapeado para "target.process.file.full_path" o carimbo de data/hora é mapeado para "metadata.event_timestamp" severity é mapeada para "security_result.severity" O resumo foi mapeado para "security_result.summary" security_description é mapeada para "security_result.description" metadata.product_name está definido como "FLUENTD" metadata.vendor_name está definido como "FLUENTD" |
| /var/log/auth.log | 4 de julho 19:26:19 Ubuntu18 systemd-logind[982]: remoção da sessão 153. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(do usuário {principal_user_userid})? | SAIR DO USUÁRIO | o carimbo de data/hora é mapeado para "metadata.timestamp" principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para principal.hostname. O principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para "principal.application". pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid. security_description é mapeada para "security_result.description" network_session_id é mapeado para "network.session_id" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid. "principal.platform" está definido como "LINUX". Se o evento security_description for removido, o event_type será definido como USER_LOGOUT. extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 27 de junho 11:07:17 Ubuntu18 systemd-logind[804]: nova sessão 564 de raiz do usuário. | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}{network_session_id}?(do usuário {principal_user_userid})? | LOGIN DO USUÁRIO | o carimbo de data/hora é mapeado para "metadata.timestamp" principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para principal.hostname. O principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para "principal.application". pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid. security_description é mapeada para "security_result.description" network_session_id é mapeado para "network.session_id" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid. "principal.platform" está definido como "LINUX". "network.application_protocol" está mapeado para "SSH" if(new_session) event_type está definido como USER_LOGIN extensions.auth.type está definido como AUTHTYPE_UNSPECIFIED metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 27 de junho 11:07:17 Ubuntu18 sshd[9349]: senha aceita para raiz da porta 198.51.100.1 57619 ssh2 | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido)?{principal_user_userid} da porta {principal_ip} {principal_port} ssh2(:{security_result_detection_fields_ssh_kv}SHA256:{security_result_detection_fields_k}) | LOGIN DO USUÁRIO | o carimbo de data/hora é mapeado para "metadata.timestamp" principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para principal.hostname. O principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para "principal.application". pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid. security_description é mapeada para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid. principal_ip é mapeado para "principal.ip" principal_port é mapeado para "principal.port" security_result_detection_fields_ssh_kv é mapeado para "security_result.detection_fields.key/value" security_result_detection_fields_kv é mapeado para "security_result.detection_fields.key/value" "principal.platform" está definido como "LINUX". "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 28 de abril 11:51:13 Ubuntu18 sudo[24149]: raiz : TTY=pts/5 ; PWD=/ ; USER=root ; COMMAND=/bin/ls | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {principal_user_userid} :( {security_description} ;)? TTY=<message_text> ; PWD={principal_process_command_line_1} ; USER={principal_user_attribute_labels_uid_kv} ; Command={linha principal | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora está mapeado para metadata.timestamp principal_hostname é mapeado para principal.hostname principal_application é mapeado para principal.application pid é mapeado para principal.process.pid principal_user_userid é mapeado para target.user.userid security_description é mapeada para "security_result.description" principal_process_command_line_1 é mapeado para "principal.process.command_line" principal_process_command_line_2 é mapeado para "principal.process.command_line" principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX". |
| /var/log/auth.log | 4 de julho 19:39:01 Ubuntu18 CRON[17217]: pam_unix(cron:session): sessão aberta para a raiz do usuário por (uid=0) | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}])<optional_field> {security_description} para (usuário inválido|usuário)?{principal_user_userid}(por (uid={principal_user_attribute_labels_uid_kv}))?$ | LOGIN DO USUÁRIO | o carimbo de data/hora está mapeado para metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para principal.hostname. O principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para "principal.application". pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid. security_description é mapeada para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid. principal_user_attribute_labels_uid_kv é mapeado para "principal.user.attribute.labels.key/value" "principal.platform" está definido como "LINUX". "network.application_protocol" está definido como "SSH" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 4 de julho 19:24:43 Ubuntu18 sshd[14731]: pam_unix(sshd:session): sessão encerrada para a raiz do usuário | {timestamp} {principal_hostname}{principal_application}<optional_filed>[{pid}]): {security_description} para (usuário inválido|usuário){principal_user_userid} | SAIR DO USUÁRIO | o carimbo de data/hora está mapeado para metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para principal.hostname. O principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para "principal.application". pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid. security_description é mapeada para "security_result.description" principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid. principal_user_attribute_labels_uid_kv é mapeado para principal.user.attribute.labels.key/value "principal.platform" está definido como "LINUX". metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/auth.log | 30 de junho 11:32:26 Ubuntu18 sshd[29425]: Redefinição da conexão autenticando a raiz do usuário 198.51.100.1 porta 52518 [preauth] | {timestamp} {principal_hostname}{principal_application}(<optional_field>[{pid}]):{security_description}(de|{principal_user_userid}){target_ip}port{target_port}<optional_field>[preauth]|:<text_message>{security_summary}|) | SAIR DO USUÁRIO | o carimbo de data/hora está mapeado para metadata.timestamp principal_hostname é mapeado para target.hostname se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para principal.hostname. O principal_application é mapeado para target.application se o valor for "USER_LOGOUT". Do contrário, ele é mapeado para "principal.application". pid é mapeado para target.process.pid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para principal.process.pid. security_description é mapeada para security_result.description. security_summary é mapeado para security_result.summary. principal_user_userid é mapeado para principal.user.userid se o valor for "USER_LOGOUT". Caso contrário, ele é mapeado para target.user.userid. target_ip é mapeado para target.ip target_port é mapeado para target.port" principal.platform" está definido como "LINUX" metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| var/log/samba/log.winbindd | [2022/05/05 13:51:22.212484, 0] ../source3/winbindd/winbindd_cache.c:3170(Initialize_winbindd_cache)Initialize_winbindd_cache: limpar o cache e recriar com a versão número 2 | {timestamp},{severity}(<optional_field>,pid={pid},efetiva({principal_user_attribute_labels_kv},{principal_group_attribute_labels_kv}),real({principal_user_userid},{principal_group_product_object_id}))?]<message_text>:{security_description} | ATUALIZAÇÃO DO STATUS | o carimbo de data/hora é mapeado para "metadata.timestamp" pid é mapeado para "principal.process.pid" principal_user_attribute_labels_kv é mapeado para "principal.user.attribute.labels" principal_group_attribute_labels_kv é mapeado para "principal.group.attribute.labels" principal_user_userid é mapeado para "principal.user.userid" principal_group_product_object_id é mapeado para "principal.group.product_object_id" security_description é mapeada para "security_result.description" metadata_description é mapeado para "metadata.description". metadata.product_name está definido como "FLUENTD" metadata.vendor_name" está definido como "FLUENTD" |
| var/log/samba/log.winbindd | mensagens_dgm_init: falha na vinculação: não há espaço disponível no dispositivo | {user_id}: {desc} | ATUALIZAÇÃO DO STATUS | metadata.product_name está definido como "FLUENTD" metadata.vendor_name" está definido como "FLUENTD" ID do usuário é mapeado para principal.user.userid desc. é mapeado para metadata.description |
| /var/log/mail.log | 16 de julho 11:40:56 Ubuntu18 sendmail[9341]: 22G6AtwH009341: from=<GOOG@Ubuntu18>, size=377, class=0, nrcpts=1, metadata_descriptionid=<202203160610.22G6AtwH0094[11] | {timestamp} {target_hostname} {application}[{pid}]: <message_text>:{KV} | ATUALIZAÇÃO DO STATUS | target_hostname é mapeado para target.hostname. aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/pickup[22580]: AE4271627DB: uid=0 from=<raiz> | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-MAIL_UNCATEGORIZADO | target_hostname é mapeado para target.hostname. aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/cleanup[23434]: AE4271627DB: message-id=<20150207184401.AE4271627DB@server.hostname.01> | {timestamp} {target_hostname} {application}[{pid}]: <message_text> message-id=<{resource_name}> | ATUALIZAÇÃO DO STATUS | target_hostname é mapeado para target.hostname. aplicativo é mapeado para target.application pid é mapeado para target.process.pid resource_name é mapeado para target.resource.name. metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/qmgr[3539]: AE4271627DB: from=<root@server.hostname.01>, size=565, nrcpt=1 (fila ativa) | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-MAIL_UNCATEGORIZADO | target_hostname é mapeado para target.hostname. aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:01 prod postfix/smtp[23436]: conectar ao gmail-smtp-in.l.abc.com[2607:xxxx:xxxx:xxx::xx]:25: rede inacessível | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | ATUALIZAÇÃO DO STATUS | target_hostname é mapeado para target.hostname. aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
| /var/log/mail.log | 7 de julho 13:44:02 prod postfix/local[23439]: E62521627DC: to=<root@server.hostname.01>, transmitendo | {timestamp} {target_hostname} {application}[{pid}]: <message_text>{KV} | E-MAIL_UNCATEGORIZADO | target_hostname é mapeado para target.hostname. aplicativo é mapeado para target.application pid é mapeado para target.process.pid metadata.vendor_name está definido como "FLUENTD" metadata.product_name está definido como "FLUENTD" |
Auditoria
Campos do registro de auditoria para campos UDM
A tabela a seguir lista os campos do tipo de registro de auditoria e os campos de UDM correspondentes.
| Campo de registro | Campo UDM |
|---|---|
| conta | target.user.user_display_name |
| adição | principal.ip |
| arch | about.labels.key/value |
| Auid | target.user.userid |
| cgroup | principal.process.file.full_path |
| cmd | target.process.command_line |
| comunicação | target.application |
| CWD | target.file.full_path |
| dados | about.labels.key/value |
| Devmajor | about.labels.key/value |
| Devminor | about.labels.key/value |
| Egid | target.group.product_object_id |
| Euid | target.user.userid |
| exe | target.process.file.full_path |
| exit | target.labels.key/value |
| família | network.ip_protocol é definido como "IP6IN4" se "ip_protocol" == 2, caso contrário, está definido como "UNKNOWN_IP_PROTOCOL" |
| tipo de arquivo | target.file.mime_type |
| fsgid | target.group.product_object_id |
| fsuid | target.user.userid |
| gid | target.group.product_object_id |
| hostname | target.hostname |
| Tipo de ICmp | network.ip_protocol está definido como "ICMP" |
| id | Se [audit_log_type] == "ADD_USER", target.user.userid é definido como "%{id}"
Se [audit_log_type] == "ADD_GROUP", target.group.product_object_id está definido como "%{id}" caso contrário, o target.user.attribute.labels.key/value será definido como "id" |
| inode | target.resource.product_object_id |
| chave | security_result.detection_fields.key/value |
| list | segurança_resultado.sobre.rótulos.chave/valor |
| mode | target.resource.attribute.permissions.name
target.resource.attribute.permissions.type |
| nome | target.file.full_path |
| novo disco | target.resource.name |
| New-Mem | target.resource.attribute.labels.key/value |
| nova-cpu | target.resource.attribute.labels.key/value |
| nova rede | pincipal.mac |
| novo_gid | target.group.product_object_id |
| Oauid | target.user.userid |
| Ocomm | target.process.command_line |
| opid | target.process.pid. |
| Oses | ID da sessão de rede |
| ouid | target.user.userid |
| obj_gid | target.group.product_object_id |
| Função obj_ | target.user.attribute.role.name |
| Ojj_uid | target.user.userid |
| usuário obj | target.user.user_display_name |
| Ogid | target.group.product_object_id |
| ouid | target.user.userid |
| path | target.file.full_path |
| Permanente | target.asset.attribute.permissions.name |
| pid | target.process.pid. |
| ppid | target.parent_process.pid |
| proto | Se [ip_protocol] == 2, network.ip_protocol está definido como "IP6IN4"
network.ip_protocol está definido como "UNKNOWN_IP_PROTOCOL" |
| res | segurança_resumo.result |
| result | segurança_resumo.result |
| saddr | security_result.detection_fields.key/value |
| sauid | target.user.attribute.labels.key/value |
| s | ID da sessão de rede |
| fragmentado | target.group.product_object_id |
| sig | security_result.detection_fields.key/value |
| Usuário subj. | target.user.user_display_name |
| sucesso | if successful=='yes', security_result.summary is set to 'system call was successful' else security_result.summary is set to 'systemcall failed' |
| suid | target.user.userid |
| chamada do sistema | about.labels.key/value |
| terminal | target.labels.key/value |
| TTD | target.labels.key/value |
| uid | Se [audit_log_type] em [SYSCALL, SERVICE_START, ADD_GROUP, ADD_USER, MAC_IPSEC_EVENT, MAC_UNLBL_STCADD, OBJ_PID, CONFIG_CHANGE, SECCOMP, USER_CHAUTHTOK, USYS_CONFIG, DEL_GROUP, DEL_USER, USER_CMD, USER_MAD, USER_MA
caso contrário, o uid está definido como target.user.userid |
| vm | target.resource.name |
Tipos de registro de auditoria para o tipo de evento do UDM
Veja na tabela a seguir os tipos de registro de auditoria e os tipos de evento de UDM correspondentes.
| Tipo de registro de auditoria | Tipo de evento do UDM | Descrição |
|---|---|---|
| ADD_GROUP | CRIAÇÃO DE GRUPOS | Acionado quando um grupo de espaço do usuário é adicionado. |
| ADICIONAR_USUÁRIO | CRIAÇÃO DE USUÁRIOS | Acionado quando uma conta de usuário do espaço do usuário é adicionada. |
| ANOM_ABEND | GENERIC_EVENT / PROCESS_TERMINATION | Acionado quando um processo termina de forma anormal (com um sinal que pode causar um despejo de núcleo, se ativado). |
| AVC | EVENTO GERAL | Acionado para gravar uma verificação de permissão SELinux. |
| ALTERAÇÃO DE CONFIGURAÇÃO | USER_RESOURCE_UPDATE_CONTENT | Acionado quando a configuração do sistema de auditoria é modificada. |
| QC_CRED | LOGIN DO USUÁRIO | Acionado quando um usuário adquire credenciais do espaço do usuário. |
| CRED_DISP | SAIR DO USUÁRIO | Acionado quando um usuário descarta credenciais de espaço do usuário. |
| CRED_REFR | LOGIN DO USUÁRIO | Acionado quando um usuário atualiza as credenciais do espaço do usuário. |
| CRYPTO_KEY_USER | USER_RESOURCE_ACCESS | Acionado para registrar o identificador de chave criptográfica usado para fins criptográficos. |
| CRYPTO_SESSION | PROCESS_TERMINATION | Acionado para registrar os parâmetros definidos durante um estabelecimento de sessão TLS. |
| CWD (CWD) | System_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar o diretório de trabalho atual. |
| DAEMON_ABORT | PROCESS_TERMINATION | Acionado quando um daemon é interrompido devido a um erro. |
| DAEMON_END | PROCESS_TERMINATION | Acionado quando um daemon é interrompido. |
| DAEMON_RESUME | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditado retoma a geração de registros. |
| DAEMON_ROTATE | PROCESS_UNCATEGORIZED | Acionado quando o daemon auditd alterna os arquivos de registro de auditoria. |
| DAEMON_START | LANÇAMENTO DO PROCESSO | Acionado quando o daemon auditado é iniciado. |
| GRUPO DEL | EXCLUSÃO DE GRUPOS | Acionado quando um grupo de espaço do usuário é excluído |
| Pendente | EXCLUSÃO DE USUÁRIOS | Acionado quando um usuário do espaço do usuário é excluído |
| EXECVE | LANÇAMENTO DO PROCESSO | Acionado para registrar argumentos da chamada execve(2) do sistema. |
| MUDAR_CONFIGURAÇÃO_ MAC | EVENTO GERAL | Acionado quando um valor booleano SELinux é alterado. |
| MAC_IPSEC_EVENT | System_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar informações sobre um evento IPSec, quando ele é detectado ou quando a configuração IPSec muda. |
| LOAD_POLICY_LOAD | EVENTO GERAL | Acionado quando um arquivo de política do SELinux é carregado. |
| MAC_STATUS | EVENTO GERAL | Acionado quando o modo SELinux (aplicado, permissivo, desativado) é alterado. |
| MAC_UNLBL_STCADD | System_AUDIT_LOG_UNCATEGORIZED | Acionado quando um rótulo estático é adicionado ao usar os recursos de rotulagem de pacotes do kernel fornecidos pelo NetLabel. |
| NETFILTER_CFG | EVENTO GERAL | Acionado quando são detectadas modificações na cadeia do Netfilter. |
| ID_OBJ | System_AUDIT_LOG_UNCATEGORIZED | Acionado para registrar informações sobre um processo para o qual um sinal é enviado. |
| CAMINHO | FILE_OPEN/GENERIC_EVENT | Acionado para registrar as informações do caminho do nome do arquivo. |
| SELINUX_ERR | EVENTO GERAL | Acionado quando um erro SELinux interno é detectado. |
| INÍCIO DE SERVIÇO | INÍCIO DE SERVIÇO | Acionado quando um serviço é iniciado. |
| SERVICE_STOP | SERVICE_STOP | Acionado quando um serviço é interrompido. |
| SYSCALL | EVENTO GERAL | Acionada para gravar uma chamada de sistema para o kernel. |
| BOTÃO DO SISTEMA | STATUS_INÍCIO | Acionado quando o sistema é inicializado. |
| NÍVEL DO SISTEMA | STATUS_ATUALIZAÇÃO | Acionado quando o nível de execução do sistema é alterado. |
| SISTEMA DE DESATIVAÇÃO | STATUS_SHUTDOWN | Acionado quando o sistema é desligado. |
| ACCT_USER | SETTING_MODIFICAÇÃO | Acionado quando uma conta de usuário do espaço do usuário é modificada. |
| AUTH_AUTH | LOGIN DO USUÁRIO | Acionado quando uma tentativa de autenticação do espaço do usuário é detectada. |
| AVC do usuário | USER_UNCATEGORIZED | Acionado quando uma mensagem AVC no espaço do usuário é gerada. |
| USER_CHAUTHTOK. | USER_RESOURCE_UPDATE_CONTENT | Acionado quando um atributo de conta de usuário é modificado. |
| CMD de USER | COMUNICAÇÃO DE USUÁRIO | Acionado quando um comando do shell do espaço do usuário é executado. |
| USUÁRIO_END | SAIR DO USUÁRIO | Acionado quando uma sessão de espaço do usuário é encerrada. |
| ERRO DO USUÁRIO | USER_UNCATEGORIZED | Acionado quando um erro de estado da conta de usuário é detectado. |
| LOGIN DO USUÁRIO | LOGIN DO USUÁRIO | Acionado quando um usuário faz login. |
| SAIR DO USUÁRIO | SAIR DO USUÁRIO | Acionado quando um usuário sai. |
| USER_MAC_POLICY_LOAD | RESOURCE_READ | Acionado quando um daemon do espaço do usuário carrega uma política do SELinux. |
| USER_MGMT | USER_UNCATEGORIZED | Acionado para registrar os dados de gerenciamento de espaço do usuário. |
| ALTERAÇÃO DE USUÁRIOS | USER_CHANGE_PERMISSIONS | Acionado quando o papel SELinux de um usuário é alterado. |
| INÍCIO DO USUÁRIO | LOGIN DO USUÁRIO | Acionado quando uma sessão do espaço do usuário é iniciada. |
| CONFIGURAÇÃO_USO | USER_RESOURCE_UPDATE_CONTENT | Acionado quando uma mudança de configuração do sistema do espaço do usuário é detectada. |
| VIRT_CONTROL | STATUS_ATUALIZAÇÃO | Acionado quando uma máquina virtual é iniciada, pausada ou interrompida. |
| ID_VIRT_MACHINE | USER_RESOURCE_ACCESS | Acionado para registrar a vinculação de um rótulo a uma máquina virtual. |
| VIRT_RESOURCE | USER_RESOURCE_ACCESS | Acionado para registrar a atribuição de recursos de uma máquina virtual. |
Campos de registro de e-mail para campos de UDM
A tabela a seguir lista os campos do tipo de registro de e-mail e os campos de UDM correspondentes.
| Campo de registro | Campo UDM |
|---|---|
| Classe | about.labels.key/value |
| Cestar | principal.user.user_display_name |
| De | network.email.from |
| Névoa | ID da rede.e-mail.mail_ |
| Proto | network.application_protocol |
| Conexão relay | nome-intermediário.nomedohost
Intermediary.ip |
| Tamanho | network.received_bytes |
| Estatística | segurança_resumo.result |
| a | network.email.to |
Tipos de registro de e-mail para tipo de evento UDM
A tabela a seguir lista os tipos de registro de e-mail e os tipos de evento do UDM correspondentes.
| Tipo de registro de e-mail | Tipo de evento do UDM |
|---|---|
| enviare-mail | ATUALIZAÇÃO DO STATUS |
| pickup | E-MAIL_UNCATEGORIZADO |
| cleanup | ATUALIZAÇÃO DO STATUS |
| qmgr | E-MAIL_UNCATEGORIZADO |
| smtp | ATUALIZAÇÃO DO STATUS |
| local | E-MAIL_UNCATEGORIZADO |